DDoS ist ein koordinierter Überlastungsangriff, bei dem viele verteilte Systeme gleichzeitig Anfragen senden, um die Verfügbarkeit eines Dienstes gezielt zu stören oder vollständig lahmzulegen. Für Unternehmen kann schon ein kurzer Ausfall einen erheblichen Sicherheitsvorfall auslösen.
Was ist DDoS einfach erklärt?
DDoS steht für Distributed Denial of Service und meint einen Angriff auf die Verfügbarkeit. Anders als bei einem einzelnen DoS-Angriff kommen die Anfragen aus vielen Quellen gleichzeitig, oft aus Botnetzen.
In der Praxis lassen sich drei Hauptformen unterscheiden:
| Angriffstyp | Funktionsweise | Typisches Ziel |
|---|---|---|
| Volumetrischer Angriff | Sehr große Datenmengen überfluten Leitungen oder Load Balancer | Bandbreite und Netzkapazität |
| Protokoll-Angriff | Schwächen in TCP, UDP oder Verbindungsaufbau werden ausgenutzt | Firewalls, Server-Ressourcen, State Tables |
| Applikationsschicht-Angriff | Viele scheinbar legitime HTTP- oder API-Anfragen treffen gezielt einzelne Endpunkte | Webserver, Login, Suche, Checkout |
Besonders problematisch sind Amplification-Angriffe. Dabei missbrauchen Angreifer offene Dienste wie DNS oder NTP, um mit wenig eigener Bandbreite eine größere Antwortflut gegen das Opfer zu erzeugen. DDoS ist deshalb auch ein Test für Incident Response.
Warum ist DDoS für NIS2-betroffene Unternehmen wichtig?
Im Rahmen der NIS2-Richtlinie in Deutschland ist DDoS relevant, weil Art. 6 Nr. 6 einen Sicherheitsvorfall als Ereignis definiert, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder Diensten beeinträchtigt. Ein erfolgreicher DDoS trifft genau die Verfügbarkeit.
Für wesentliche und wichtige Einrichtungen wird DDoS damit zu einer Governance- und Meldefrage. Wenn ein Angriff erhebliche Auswirkungen auf die Erbringung der Dienste hat, greifen die Vorgaben zur Meldung eines erheblichen Vorfalls. Vertiefend dazu ist die Meldepflicht relevant.
Auch strafrechtlich ist DDoS in Deutschland nicht folgenlos. Je nach Angriffsausgestaltung kommen § 303a StGB und § 303b StGB in Betracht.
Wie schützen sich Unternehmen gegen DDoS?
Wichtige Bausteine der DDoS-Abwehr sind:
- vorgelagerte Filterung über CDN oder Anycast-Infrastruktur
- Scrubbing-Dienste, die bösartigen Traffic vor dem eigenen Netz herausfiltern
- Rate Limiting, Caching und Segmentierung kritischer Anwendungen
- sauber konfigurierte Firewall-, WAF- und Load-Balancer-Regeln
- klar definierte Eskalationswege für Technik, Kommunikation und Management
Das BSI verweist in seiner Liste qualifizierter DDoS-Mitigation-Dienstleister auf Prävention und Mitigation. In den Lage-Gefährdungen führt das BSI DDoS weiter als Bedrohungskategorie.
Praxisbeispiel: DDoS gegen ein deutsches Unternehmen
Ein deutscher Onlinehändler aus Nordrhein-Westfalen betreibt seinen Umsatz fast vollständig über Webshop und Kundenkonto. Während einer Rabattaktion startet eine Angreifergruppe einen Angriff auf Login und Checkout, parallel läuft ein volumetrischer UDP-Flood gegen die Infrastruktur.
Die Folge ist ein echter Geschäftsausfall: Bestellungen brechen ab, das Callcenter wird überlastet und Partner können Schnittstellen nicht mehr nutzen. Ist dieser Ausfall für ein unter NIS2 fallendes Unternehmen erheblich, muss er sofort als potenziell meldepflichtiger Vorfall bewertet werden.
Häufig gestellte Fragen zu DDoS
Was ist DDoS?
DDoS ist ein Distributed-Denial-of-Service-Angriff, bei dem viele kompromittierte Systeme gleichzeitig Anfragen senden, damit ein Dienst nicht mehr erreichbar ist.
Welche Rolle spielt DDoS unter NIS2?
Im Rahmen der NIS2-Richtlinie ist DDoS relevant, weil ein erheblicher Ausfall der Verfügbarkeit ein meldepflichtiger Sicherheitsvorfall sein kann.
DDoS ist für Unternehmen vor allem ein Verfügbarkeits- und Governance-Risiko. Wenn Sie Angriffe und Meldewege strukturiert einordnen wollen, finden Sie in unserer NIS2-Schulung den passenden Einstieg.